Residenza dei dati in Azure

Azure ha un numero di aree globali superiore a quello di qualsiasi altro provider di servizi cloud, offrendo la scalabilità e le opzioni di residenza dei dati necessarie per avvicinare le app agli utenti in tutto il mondo.

In qualità di cliente, mantieni la titolarità dei dati del cliente, ovvero il contenuto, i dati personali e gli altri dati forniti per l'archiviazione e l'hosting nei servizi di Azure. Microsoft non archivia né tratta i dati dei clienti al di fuori dell'area geografica da te specificata, ad eccezione di determinati servizi forniti non a livello di area. Hai anche il controllo di qualsiasi area geografica aggiuntiva in cui decidi di distribuire le soluzioni o replicare i dati.

Quando la funzionalità di un servizio richiede la replica dei dati a livello globale, i dettagli sono indicati di seguito.

  • Microsoft protegge i dati usando più livelli di sicurezza e protocolli di crittografia. Ottieni una panoramica del modo in cui Microsoft usa la crittografia per proteggere i tuoi dati.

    Per impostazione predefinita, le chiavi gestite da Microsoft proteggono i tuoi dati e i dati dei clienti che vengono mantenuti in qualsiasi supporto fisico vengono sempre crittografati usando i protocolli di crittografia conformi a FIPS 140-2. I clienti possono anche usare chiavi gestite dal cliente, crittografia doppia e/o moduli di protezione hardware per una maggiore protezione dei dati.

    Tutto il traffico di dati che si sposta tra i data center viene protetto con gli standard di sicurezza MAC IEEE 802.1AE, impedendo attacchi fisici "man-in-the-middle". Per mantenere la resilienza, Microsoft usa percorsi di rete variabili che a volte attraversano confini geografici, ma la replica dei dati dei clienti tra aree viene sempre trasmessa su connessioni di rete crittografate.

    Per ridurre al minimo i rischi per la privacy, Microsoft genera inoltre identificatori pseudonimi attraverso i quali può offrire un servizio cloud globale, inclusi il funzionamento e il miglioramento dei servizi, la fatturazione e la protezione da frodi. In tutti i casi, gli identificatori pseudonimi non possono essere usati per identificare direttamente un singolo utente e l'accesso ai dati dei clienti che identificano singoli utenti viene sempre protetto come descritto in precedenza.

  • Tutti i servizi di Azure possono essere usati in conformità al GDPR. Se i clienti che usano servizi di Azure scelgono di trasferire oltre confine contenuti che includono dati personali, dovranno tenere conto dei requisiti legali applicabili a tali trasferimenti. Microsoft fornisce ai clienti servizi e risorse per aiutarli a garantire la conformità ai requisiti del GDPR applicabili alle operazioni specifiche.

    Alcuni servizi online Microsoft condividono dati con terze parti che agiscono come sub-responsabili del trattamento. L'elenco dei sub-responsabili del trattamento di dati per Microsoft Online Services, divulgato pubblicamente, identifica i sub-responsabili autorizzati a trattare dati dei clienti o dati personali. Tutti questi sub-responsabili del trattamento sono obbligati per contratto a soddisfare o superare gli impegni contrattuali assunti da Microsoft con i propri clienti.

    Microsoft non fornirà a terze parti (a) l'accesso diretto, completo o illimitato ai dati del cliente; (b) le chiavi di crittografia della piattaforma usate per proteggere i dati del cliente o la possibilità di compromettere tale crittografia; o (c) l'accesso ai dati qualora Microsoft sia consapevole dell'uso di tali dati per scopi diversi da quelli indicati nella richiesta della terza parte. Altre informazioni sull'approccio di Microsoft alla divulgazione legale dei dati dei clienti in relazione ai requisiti governativi sono disponibili qui.

La maggior parte dei servizi di Azure consente di specificare l'area in cui verranno archiviati ed elaborati i dati dei clienti. Microsoft potrebbe replicare i dati in altre aree per assicurare la resilienza dei dati, ma non archivierà o elaborerà i dati dei clienti all'esterno dell'area geografica selezionata. Tu e i tuoi utenti potete spostare, copiare o accedere ai dati dei clienti da qualsiasi località del mondo.

Altre informazioni sulla posizione dei dati dei clienti

Archiviazione dei dati per i servizi a livello di area

La maggior parte dei servizi di Azure viene distribuita a livello di area e consente al cliente di specificare l'area in cui verrà distribuito il servizio. Sono inclusi, ad esempio, servizi di Azure come macchine virtuali, archiviazione e database SQL. Per un elenco completo dei servizi a livello di area, vedi Prodotti disponibili in base all'area.

Microsoft potrebbe copiare i dati dei clienti tra aree all'interno di un'area geografica specifica, per garantirne la ridondanza o per altri scopi operativi. Con l'archiviazione con ridondanza geografica, ad esempio, i dati di BLOB, file, code e tabelle vengono replicati tra due aree all'interno della stessa area geografica per garantirne durabilità avanzata in caso di gravi problemi del data center.

Microsoft non archivia o elabora i dati dei clienti al di fuori dell'area geografica specificata dal cliente senza l'autorizzazione del cliente, tranne che per i seguenti servizi a livello di area:

  • Servizi cloud di Azure, che prevedono il backup di pacchetti di distribuzione software del ruolo di lavoro e Web negli Stati Uniti, indipendentemente dall'area di distribuzione.
  • Language Understanding, che può archiviare i dati dell'apprendimento attivo negli Stati Uniti, in Europa o in Australia in base alle aree usate dal cliente per la creazione. Altre informazioni
  • Azure Machine Learning, che può archiviare il testo a mano libera fornito dal cliente (ad esempio, nomi per aree di lavoro, gruppi di risorse, esperimenti, file e immagini) e i parametri degli esperimenti negli Stati Uniti.
  • Azure Databricks, che archivia negli Stati Uniti i dati relativi alle identità, alcuni nomi di tabella e le informazioni sul percorso degli oggetti.
  • Azure Sentinel
  • Console seriale di Azure, che archivia tutti i dati inattivi del cliente nell'area geografica selezionata dal cliente, ma che in caso di uso tramite il portale di Azure può elaborare i comandi e le risposte della console all'esterno dell'area geografica esclusivamente per finalità di fornitura dell'esperienza console nel portale.
  • Anteprima, beta o altri servizi provvisori, che in genere archiviano i dati clienti negli Stati Uniti, potrebbero archiviarli globalmente.

I clienti possono configurare i servizi, livelli o piani di Azure seguenti per archiviare i dati dei clienti solo in una singola area:

1La residenza dei dati in una singola area viene attualmente fornita per impostazione predefinita solo nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e nell'area Brasile meridionale (Stato di San Paolo) dell'area geografica Brasile. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo.

2La residenza dei dati in una singola area viene attualmente fornita per impostazione predefinita solo nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo.

3La funzionalità di anteprima per abilitare l'archiviazione di tutti i dati dei clienti in una singola area è attualmente solo disponibile nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e nell'area Brasile meridionale (Stato di San Paolo) dell'area geografica Brasile. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo.

4Per Azure Databricks vengono archiviati negli Stati Uniti i dati relativi alle identità, alcuni nomi di tabella e le informazioni sul percorso degli oggetti. La possibilità di abilitare l'archiviazione di tutti gli altri dati dei clienti in una singola area è attualmente disponibile nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e nell'area Brasile meridionale (Stato di San Paolo) dell'area geografica Brasile. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo, soggetta all'eccezione indicata sopra.

5La versione classica dell'archiviazione con ridondanza della zona archivia i dati in più aree.

Archiviazione dei dati per i servizi non a livello di area

Alcuni servizi di Azure non consentono al cliente di specificare l'area in cui verranno distribuiti. Questi servizi possono archiviare o elaborare i dati dei clienti in qualsiasi data center Microsoft, se non diversamente specificato.

  • Rete per la distribuzione di contenuti di Azure, che offre un servizio di caching globale e prevede l'archiviazione dei dati dei clienti in posizioni periferiche in tutto il mondo.
  • Azure Active Directory (Azure AD), che può archiviare i dati di Azure AD a livello globale. Ciò non si applica alle distribuzioni di Azure AD negli Stati Uniti (in cui i dati di Azure AD vengono archiviati esclusivamente negli Stati Uniti) e in Europa (in cui i dati di Azure AD vengono archiviati in Europa o negli Stati Uniti). Altre informazioni
  • Azure Multi-Factor Authentication, che archivia i dati di autenticazione negli Stati Uniti. Altre informazioni
  • Centro sicurezza di Azure, che potrebbe archiviare una copia dei dati correlati alla sicurezza, raccolti da o associati a una risorsa del cliente (ad esempio, macchina virtuale o tenant di Azure AD):

    (a) Nella stessa area geografica della risorsa, tranne che in quelle in cui Microsoft non ha ancora distribuito il Centro sicurezza, nel qual caso una copia di tali dati verrà archiviata nella Stati Uniti.

    (b) Se il Centro sicurezza usa un altro servizio online Microsoft per elaborare tali dati, potrebbe archiviarli in base alle regole di georilevazione di quest'altro servizio online.

  • Servizi che forniscono funzioni di instradamento globale e non elaborano o archiviano i dati dei clienti. Sono inclusi Gestione traffico di Azure, che fornisce il bilanciamento del carico tra aree diverse, e DNS Azure, che fornisce servizi DNS (Domain Name Service) per il routing ad aree diverse.

Per un elenco completo dei servizi non a livello di area, vedi Prodotti disponibili in base all'area e seleziona Non a livello di area.